2022 a t l’anne des fuites de code source ; Microsoft, Nvidia, Samsung, Rockstar et bien d’autres entreprises ont vu leur code source involontairement mis en ligne. La fuite de code source interne se produit avec une rgularit alarmante ces dernires annes. De nouvelles recherches menes par CyberNews ont rvl qu’il existe des millions de dpts git privs qui, en fait, ne sont pas si privs que cela.
Il existe de nombreuses faons pour que .git s’tende des endroits qui ne sont peut-tre pas prvus. Il peut s’agir d’une mauvaise configuration d’une sauvegarde, ou d’une tentative d’hbergement de votre propre serveur git, mais gnralement, il s’agit d’un problme de dploiement. Un exemple qui s’est produit plusieurs fois est celui d’un site Web statique, si quelqu’un utilise Amazon S3 pour hberger son site, au lieu de tlcharger la version actuelle, il a tlcharg un rpertoire entier, y compris le dossier .git. Pour quiconque comprend quel point ces fichiers sont sensibles, il semble improbable et choquant que cela se produise, mais cela arrive, prs de 2 millions de fois selon cyber.
Prs de 200 Go de code source de Samsung et le code source de la dernire technologie DLSS de Nvidia ont t publis en ligne par le groupe ce pirates Lapsus dollars. Lapsus a galement poursuivi son rythme prolifique d’intrusions en divulguant le code source interne de 250 projets Microsoft, ce qui, selon le groupe, reprsente 90 % du code source de Bing et 45 % du code source de Bing Maps et Cortana.
Ces fuites interviennent aprs celles, publiques, du code source de Samsung et de Nvidia, et aprs celles de Vodafone, Okta, Ubisoft et Mercado Libre. Bien que Lapsus$ cible galement les comptes administrateurs, nous savons qu’il s’intresse surtout au code source priv des entreprises. Ce code source est non seulement prcieux pour dcouvrir les vulnrabilits des applications, mais aussi parce qu’il contient souvent des informations sensibles.
Bien qu’il ne soit pas certain de la manire dont Lapsus a obtenu l’accs initial, Microsoft avait dclar dans un message sur le groupe qu’ils ont remarqu plusieurs techniques utilises. Microsoft avait galement dclar que le groupe (qu’il appelle Dev-0537) a utilis des comptes personnels d’employs qui ont peut-tre divulgu des informations d’identification de l’entreprise, par exemple sur les dpts Github publics personnels des employs.
Pourquoi l’exposition des dpts git est-elle si problmatique ?
Les dpts Git ne sont pas conus pour contenir des informations sensibles. Ils sont conus pour permettre la collaboration et le partage du code source entre les dveloppeurs et parfois la communaut dans son ensemble. Si le code source peut tre un atout prcieux pour les entreprises, sans doute l’atout le plus prcieux d’une entreprise, le code source en lui-mme n’est souvent pas si prcieux pour les autres parties et les applications bien conues ne devraient pas devenir vulnrables simplement parce que leur code source est expos.
Toutefois, le code source contient souvent des informations sensibles. Des secrets tels que des cls API, des certificats de scurit et d’autres informations d’identification sont trs souvent exposs dans le code source. 6 % des dpts git exposs, avaient les informations d’identification pour dployer leurs applications, accessibles publiquement au monde entier, dans le fichier de configuration.
Les entreprises ignorent souvent l’norme problme des informations d’identification exposes dans les dpts git, car elles se retranchent derrire l’argument selon lequel le code est priv et ne devrait donc pas tre expos. L’histoire rcente nous montre que ce n’est pas le cas.
L’anne dernire, on a dcouvert que les dpts git de Twitch comportaient une erreur de configuration qui les rendait publiquement accessibles (d’une manire similaire celle dcouverte par l’tude de CyberNews), ce qui a conduit l’exposition de l’ensemble du code source de tous leurs projets (mme les projets secrets). Dans ce cas particulier, tout le code source appartenant Twitch a t expos sur le forum 4chan, ce qui comprenait 6 000 dpts Git internes et 3 000 000 de documents d’une taille combine dcompresse de 200 Go.
Cette fuite comprenait le code source de divers produits, projets secrets, filiales, outils internes et dpts d’employs de Twitch. En outre, des informations provenant de bases de donnes, notamment les revenus des streamers, ont t exposes.
Mme les gouvernements ne sont pas l’abri de ce problme. Le gouvernement indien a connu une violation massive qui a rvl l’existence de centaines de serveurs git exposs qui ont rvl d’normes quantits de fichiers sensibles, y compris des certificats de scurit et mme des rapports de police.
Le code source, presque toujours, contient plus que du code source. Dans l’histoire d’un projet, sur des branches de dveloppement souvent oublies, des informations sensibles sont caches. C’est pourquoi, mme si le code source n’est pas considr comme un actif critique pour la scurit, il doit tre protg et c’est pourquoi les dpts de code privs qui sont publics sont une si grande proccupation.
Si le dpt git est protg, il devient plus difficile, mais pas impossible, pour un acteur malveillant d’y avoir accs. En 2021, l’attaque de la chane d’approvisionnement de CodeCov a permis des acteurs malveillants d’accder prs de 20 000 dpts git privs d’utilisateurs de CodeCov, dont HashiCorp, Twilio et Rapid7, mme si ceux-ci n’ont jamais t exposs publiquement. Nous avons galement vu des entreprises comme Uber voir leurs dpts viols cause d’un compte de dveloppeur compromis.
Bien qu’il existe de nombreuses preuves montrant que les dpts git sont des cibles de grande valeur pour les cybercriminels, on peut ajouter ces preuves le fait que ces dpts sont facilement accessibles par le biais d’un scan de domaine et d’IP recherchant des dossiers .git. Il est important de mieux protger ces dpts et analyser son infrastructure pour dtecter les faiblesses exposes, il est aussi important de sassurer que les donnes sensibles comme les informations secrtes ne sont pas dans le dpts, ce qui constitue un effort minimal de scurit.
Source : GitGuardian
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :